2 ans c'est à peu près la durée moyenne que nous constatons nécessaire à une grande entreprise pour se mettre sur le chemin de la conformité et surtout pour ancrer durablement une culture de la protection des données. Dans ce climat de méfiance, possiblement de défiance, faisons le point sur la mise en conformité des entreprises au RGPD 2 ans après.
La protection des données : un défi organisationnel
Depuis l'entrée en vigueur du RGPD, des acteurs clé tels que le DPO (DPD en français pour Délégué à la Protection des Données) ont dans la plupart des cas bien été nommés dans les entreprises, et une prise de conscience de l'importance de la protection des données s'installe peu à peu au sein des entreprises. Toutefois, l'investissement global tant financier qu'humain, consacré à la sécurité des systèmes numériques reste trop faible face au retard accumulé des entreprises et aux enjeux.
Les organisations et les habitudes de travail peinent à changer pour adopter le « privacy and security by design ». Si les actions de communication et de sensibilisation sont généralement bien lancées, celles-ci sont à compléter par une meilleure appropriation des actions de mise en conformité au sein de toutes les directions. En effet, dans de nombreuses entreprises, la protection des données personnelles est encore à date souvent perçue comme étant exclusivement portée par le DPO alors qu'il devrait être l'affaire de tous.
La gestion de la protection des données ne peut s'effectuer en silo, une organisation transverse est à déployer.
« La méfiance est mère de la sûreté » Jean de La Fontaine
Les contrôles de la CNIL, au nombre de 300 par an, contribuent à sensibiliser les entreprises à la nécessité d'accentuer leurs efforts de mise en conformité. La peur du gendarme est efficace car elle entraine une réponse des entreprises. Toutefois cette réponse reste encore superficielle. La CNIL a annoncé qu'elle effectuerait des contrôles accrus sur la conformité des sites internet, notamment sur les cookies et nous avons bien constaté une évolution sur les sites internet, mais de nombreux sites imposent encore l'acceptation des cookies, sans réellement consentement.
Au-delà de ces contrôles, le RGPD a par nature pour objectif de fournir aux personnes un niveau de contrôle sur l'utilisation qui est faite de leurs données et d'exiger des mesures qui permettraient aux usagers de regagner leur confiance dans la protection de leurs données. Le contexte de crise place le sujet de la protection des données au cœur des débats : d'une part, de la mise en œuvre de téléconsultations médicales à la télésurveillance d'examens, le Covid-19 a transformé le quotidien des personnes ; par ailleurs, l'application StopCovid a suscité vives craintes vis-à-vis de la protection de la vie privée, malgré les délibérations de la CNIL. Si la CNIL indique que sous certaines conditions, StopCovid peut bien être mis en œuvre, elle souligne néanmoins le risque que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d'accoutumance propre à dégrader le niveau de protection de la vie privée ».
Cette nécessité de vigilance accrue dans ce contexte de crise est une occasion pour les entreprises de repenser leur mode d'organisation de la protection des données à long terme.
La conformité au RGPD, un enjeu stratégique
Toute crise est marquée par des évolutions imprévisibles. Celle-ci implique que les entreprises doivent faire preuve d'une rapide adaptabilité face à ce contexte mouvant. Ainsi, le Covid-19 a mené de nombreuses entreprises à mettre la transformation digitale au cœur de leur stratégie.
D'un point de vue extérieur à l'entreprise, le Covid-19 contribue à renforcer la vigilance des personnes au sujet de la protection des données. Toute entreprise a ainsi tout intérêt à mettre en avant sa maîtrise des mesures de protection.
L'organisation interne de l'entreprise a néanmoins également un rôle clé à jouer pour permettre cette adaptabilité. En effet, l'exigence de rapidité dans ce contexte de crise implique qu'un fonctionnement en silo sera d'autant plus une barrière qu'en situation normale. Une entreprise a tout avantage à avoir une organisation où la protection des données est bien intégrée dès la conception, et est maîtrisée tout le long du cycle de vie de la donnée de façon transverse. En l'absence de ressources complémentaires au DPO en mesure de veiller au respect du RGPD au sein des directions, l'entreprise fera face à deux risques : soit un risque stratégique et économique (lenteur d'adaptation), soit un risque règlementaire pouvant porter défaut à leur image (adaptation rapide au contexte de crise, mais ne respectant pas la protection de la vie privée).
Cette crise sanitaire est l'occasion pour les organismes d'accroître leur vigilance sur leur mode prise en compte du RGPD. Dans ce contexte où d'une part, des données de santé sont traitées de façon accrue, d'autre part les entreprises sont contraintes à faire preuve de flexibilité et d'adaptabilité, le moment est opportun pour résoudre les problèmes organisationnels associés à la prise en compte du RGPD.
Nos données personnelles disséminées dans tous les systèmes informatiques caractérisent notre existence dans le monde numérique. Le RGPD est salutaire pour la protection de notre moi numérique. Son entrée en application il y a 2 ans, a permis une prise de conscience globale et le démarrage de lourds travaux de mise en conformité dans les entreprises. Le chemin reste long car certaines sont au milieu du gué et la majorité doivent accélérer leurs actions. 2020 et 2021 seront également des années où il sera nécessaire de penser le monde d'après. Le monde de l'après cookies, de la confiance numérique, de la stratégie client360, de la smart data ... un monde où la protection des données d'une entreprise est prise en compte dès la conception.
--
(*) : Maria DIMCA, Consultante senior chez mc2i et Nosing DOEUK Directeur de l'offre Innovations et Technologies chez mc2i
Le Qatar pourrait acheter 120 véhicules blindés VBCI fabriqués par KNDS France
Sujets les + commentés